SolarWinds事件、攻撃の実務担当は平日8時〜20時勤務か、PRODAFTの調査：ホワイトではないがしっかりした勤務形態の組織

SolarWinds事件への関与が疑われるグループのサーバに侵入したスイスのセキュリティファームが、攻撃活動の一端を明らかにした。平日8時〜20時勤務で組織化された犯行グループの可能性があるという。

[後藤大地，有限会社オングス]

　SolarWinds製品の脆弱（ぜいじゃく）性に端を発する一連のサイバーインシデントの全容は依然として不明瞭なままだ。誰が何の目的でこの行動に出たのか、背後にいるアクターが1つなのか複数なのか、実際に影響を受けた組織とその範囲かどのくらいなのかといった情報について、部分的な情報はセキュリティファームや研究者らが公表しているが、未だに一致した見解が得られていない。こうした状況に変化が出そうな情報がもたらされた。

　スイスのセキュリティファームPRODAFTが新たな報告書「SilverFish Group Threat Actor Report」を公開した。PRODAFTはSolarWindsインシデントに関与したとみられるサイバー攻撃グループ「SilverFish」が使用するコンピュータインフラストラクチャに侵入し、その内容を分析したとしている。この報告はSolarWindsインシデントの全容解明に関与する可能性が高い。

SilverFish Group Threat Actor Report（出典：PRODAFT）

犯行に使われたサーバに侵入してみたら……。攻撃者のビジネスアワーとその属性のヒント

　PRODAFTの研究者らはSolarWindsインシデントで活動したとみられるサイバー攻撃グループ「SilverFish」が使用したとされるサーバに侵入し、2020年12月20日（協定世界時）から2021年3月7日（協定世界時）までの活動分析を実施した。その結果、ヨーロッパおよび米国を対象とした大規模キャンペーンが展開されており、少なくとも4720の組織が標的になっていたと報告している。中でも興味深いのは、攻撃グループの行動だ。